Sanzioni del Garante Privacy cipriota per l’utilizzo di un sistema automatizzato finalizzato al monitoraggio dell’as...

Nel corso del 2018, il sindacato dei dipendenti, aveva presentato una denuncia presso l’Autorità per la protezione dei dati personali di Cipro, contro un gruppo di aziende che aveva implementato uno strumento automatizzato utilizzato per monitorare le assenze per malattia dei dipendenti, noto anche come “Bradford Factor“.

L’utilizzo di tale algoritmo, permetteva alle società di monitorare, tramite un software, i congedi per malattia degli 818 dipendenti coinvolti, assegnando loro un punteggio negativo nel caso in cui tali permessi risultassero brevi ma ricorrenti. Secondo la logica alla base del sistema automatizzato “Bradford Factor”, infatti, le assenze per malattia dei dipendenti brevi, frequenti e non pianificate portano a una maggiore disorganizzazione dell’azienda rispetto alle assenze più lunghe.

Secondo quando dichiarato dal Garante Privacy cipriota, sebbene ciascuna società, in quanto datore di lavoro e titolare del trattamento dei dati personali, abbia il diritto di controllare la frequenza delle assenze per malattia e la validità di tali certificati di assenza per malattia, tale diritto, tuttavia, non deve essere abusato e deve essere applicato nei limiti stabiliti dal quadro normativo pertinente.

La violazione:

A seguito dell’analisi di tutti gli elementi raccolti ai fini dell’indagine, inclusa la valutazione di impatto prodotta dalle società del gruppo Louis coinvolte nel procedimento, il Garante privacy cipriota ha dichiarato che le stesse non hanno dimostrato che tale trattamento automatizzato fosse supportato da un’idonea base giuridica.

Il trattamento oggetto di indagine, infatti, non poteva ritenersi necessario per il perseguimento di un legittimo interesse dei titolari, ai sensi dell’art. 6 par. 1) lettera f) del GDPR; condizione tassativa per ricorrere a tale base giuridica, infatti, è l’assenza di pregiudizio degli interessi, diritti e libertà fondamentali dei soggetti interessati.

Analogamente, secondo il Garante, nessuna delle disposizioni dell’articolo 9, paragrafo 2, del GDPR avrebbe potuto trovare applicazione in questo caso. Infatti, con specifico riferimento al consenso dell’interessato, previsto come idonea base giuridica per il trattamento di particolari categorie di dati, ai sensi dell’art. 9 paragrafo 2 lett. a) del GDPR, il Garante privacy cipriota ha specificato che lo stesso non sarebbe stato in ogni caso sufficiente, poiché la posizione predominante tipicamente rivestita dal datore di lavoro nei confronti dei propri dipendenti sarebbe stata contraria al principio di libertà del consenso sancito dall’art. 4 co. 11 del GDPR.

Le sanzioni:

Avendo stabilito l’illiceità della condotta, il Garante privacy cipriota ha ordinato alle società del gruppo Louis di interrompere tale trattamento e di cancellare tutti i dati raccolti tramite il sistema automatizzato “Bradford Factor”. Inoltre, è stata inflitta un’ammenda a ciascuna delle tre società coinvolte, del valore complessivo di 82.000,00 euro, in relazione alle violazioni dell’articolo 6 e dell’articolo 9 del GDPR.